「心臟出血」的威脅

dan.gel · 發表於 2014-4-13 23:12:31

網絡設備如何受到影響？

      像網站一樣，一些用來操作網絡設備的軟件，例如路由器、轉換器和防火牆等，都有採用OpenSSL，而OpenSSL這套工具很容易受到「心臟出血」蠕蟲襲擊。網絡設備就好像網站一樣，黑客可以利用漏洞入侵一套系統，竊取客戶密碼和其他敏感資料。

      電腦用家可以怎樣做？

      保安專家強烈勸喻用家和網民更改所有密碼，但在科網公司推出修補軟件堵塞漏洞之前，單是更改密碼是不足夠的。一旦網站遇襲，尚且可以更新軟體，迅速修復；但如果是網絡設備遇襲，則要花更長時間檢查每一件設備，才知道如何修復。思科公司和Juniper網絡公司繼續在網上提供資料，讓客戶知道哪些設備和產品仍然受到威脅、哪些已經修復、以及哪些未受影響。

      其他電子裝置也有危險嗎？

      任何要連結上網的家居設備和電子裝置，例如可以有WiFi功能的blu-ray影碟機、智能恆溫器、保安系統和燈光系統等，都可能遇襲。

登錄/註冊後可看大圖

dan.gel · 發表於 2014-4-13 23:15:05

電腦保安專家說，現在看來，「心臟出血」保安漏洞不單止影響網站，用來協助家居和商業機構連結上互聯網的網絡設備，也受到嚴峻威脅。「心臟出血」漏洞已經存在了兩年有多，到現在才公開，無人知道它已經造成多少破壞，也很難知道是否已經有黑客利用這個漏洞發動襲擊，因為這種襲擊方式是無聲無息、不留痕跡的。

      美國資訊科技審計公司Coalfire的副總裁韋伯說，這個漏洞現在公開了，同樣帶來危險，因為黑客可能會趁覑科網公司找到補救方案之前，趕快利用這個漏洞施襲及竊取資料。

      Blu-ray影碟機恐受影響

      兩大網絡設備公司思科（Cisco）和 Juniper均承認，它們有部份產品和設備含有「心臟出血」蠕蟲，但專家警告，這個問題可能會蔓延至其他公司及一些要與互聯網連結的電子設備，例如Blu-ray影碟機。

      紐約佩斯大學的教授海斯表示：「我相信，許多人都關注今次事件。未來數周或數個月，電腦保安專人員會十分忙碌。客戶需要得到他們想知的答案。」

dan.gel · 發表於 2014-4-13 23:15:57

互聯網廣泛應用的OpenSSL加密軟件被揭發出現被稱為「心臟出血」（Heartbleed）的保安漏洞，引起全球關注。有消息指美國國安局早已經知道有這個問題存在，但卻秘而不宣，還利用這個漏洞去搜集情報。美國白宮和多個情報部門急忙否認，強調國安局及其他政府部門在今個月之前都不知道有這個安全漏洞存在。

      彭博新聞社較早時引述兩名不願公開身份的消息靈通人士報道，OpenSSL 加密軟件出現保安漏洞，國安局最低限度已經知道兩年，但一直不作聲，而是利用這個漏洞發動攻擊，竊取密碼和其他基本資料。白宮、國安局和國家情報局迅速作出反應，分別發表聲明否認彭博的報道。

      專家籲更改網上密碼

      科網界人士形容「心臟出血」是近年揭發的其中一個最嚴重的互聯網保安漏洞。專家公開呼籲電腦用家和上網人士更改所有密碼，防範黑客入侵。

      白宮國家安全委員發言人海登回應道：「有關國安局和其他政府部門在二○一四年四月之前已經知道所謂『心臟出血』的問題，那是錯誤的。」

      他強調：「這個政府認真地承擔責任，協助維持開放、互用、安全和可靠的互聯網空間。」

      Google 集團和小型網絡保安公司Codenomicon的科研人員本周二公佈發現「心臟出血」漏洞，促使美國國土安全部勸喻商業機構，看看它們的伺服器是否使用容易受到襲擊的 OpenSSL 軟件。

      OpenSSL 現時在世界各地通行，主要用來替電郵、即時通訊及其他網上傳送的訊息加密，並保護許多大型科網公司例如 facebook、Google 和雅虎的網站。「心臟出血」漏洞可以讓黑客在不留痕跡的情況下，發動攻擊及竊取數據，例如密碼和信用卡資料。

      國安局女發言人瓦因斯表示：「在這個消息公開之前，國安局不知道 OpenSSL 出現保安問題。」

      海登則說，美國聯邦政府也是使用 OpenSSL 軟件保護政府網站用戶及其他網上服務客戶的私隱。如果聯邦政府及情報機構一早知有保安漏洞存在，早已知會負責的人員。

      他重申，當政府知道商業及開放式軟件出現保安問題時，都以國家利益為重，以負責任的態度作公佈，而不是把消息隱瞞進行調查，或者去達到情報方面的目的。

dan.gel · 發表於 2014-4-13 23:41:28

兩年前已知有這漏洞,
如白宮國家安全局還不知道, 那它們就好羞!

		自動登錄	找回密碼
密碼			注册

「心臟出血」的威脅

盜取訊息不留痕跡

傳美國安局早洞悉漏洞 OpenSSL「心臟出血」